تفاوت HTTP و HTTPS در چیست ؟

با افزایش اهمیت امنیت وبسایت‌ها، آشنایی با نحوه‌ی تشخیص پروتکل‌های انتقال امن داده مانند HTTPS، بسیار مهم و حیاتی است. یکی از تغییرات اساسی مرورگر کروم در نسخه‌ی اخیر، بلاک کردن وبسایت‌های HTTP است؛ به این صورت که هنگام بازدید کاربران از این وبسایت‌ها، کروم آن‌ها را بلاک می‌کند و به کاربران اخطار ناامن بودن وبسایت می‌دهد؛ اما به وبسایت‌هایی که از پروتکل HTTPS استفاده می‌کنند، برگه‌ی صحت داده می‌شود. اکنون با این پرسش مواجه می‌شویم که HTTP چیست و چرا HTTPS به آن ترجیح داده می‌شود؟

HTTP و HTTPS

HTTP به معنای پروتکل انتقال ابرمتن است که برای ارسال اطلاعات بین دو سیستم و اغلب بین یک وب سرور و یک کاربر رایانه استفاده می‌شود. HTTPS به معنای پروتکل امن انتقال ابرمتن است و کاربرد بسیاری در ارسال اطلاعات بین سیستم‌ها به‌صورت امن دارد. قسمت امنیتی مربوط به اجازه‌ی کروم برای بارگذاری این وبسایت‌ها و مسدود کردن وبسایت‌هایی است که هم‌چنان از پروتکل HTTP استفاده می‌کنند.

در ابتدا همه‌ی توسعه‌دهندگان وب ملزم به استفاده از HTTP بودند و HTTPS مورد استفاده نبود. HTTP در سال ۱۹۶۵ و HTTPS در سال ۱۹۹۴ توسعه پیدا کردند. سه دهه، HTTP تنها پروتکل انتقال بود و تا مدت‌ها مشکل خاصی وجود نداشت. اینترنت به شکلی که امروز می‌بینیم و به گونه‌ای که هرشخص با دستگاه خود به آن متصل باشد، وجود نداشت؛ هم‌چنین اتصال به اینترنت هم پرهزینه بود و به‌سختی میسر می‌شد.

HTTPS ،SSL و TLS

HTTPS در ابتدا برای انتقال امن داده‌ها در پروتکل لایه‌ی سوکت امن استفاده می‌شد. SSL به همین منظور طراحی شد و توسعه یافت. در آغاز کار، فقط توسط وب‌سایت‌های تجارت الکترونیک و درگاه‌های پرداخت مانند پی پالاستفاده می‌شد؛ اما امروزه یک وب‌سایت ناامن می‌تواند برای ورود یک بدافزار به مرورگر شما استفاده شود یا حتی آن‌ را در همه‌ی سیستم شما پخش کند؛ به همین دلایل وب‌سایت‌ها در حال تغییر به استفاده از HTTPS هستند.

لازم به ذکر است که SSL نیز به طی سال‌های گذشته بهبود‌های گسترده‌ای تجربه کرده و در حال حاضر، توسط امنیت لایه‌ی انتقال (TLS) جایگزین شده است. TLS سطح بهتری از امنیت و سیاست‌های حفاظتی فراهم می‌کند. امروزه نیاز به امنیت فقط حفاظت از اطلاعات حساس از دزدیده شدن نیست؛ بلکه محافظت در برابر ردیابی هم بسیار مهم است که به همین منظور پروتکل امنیتی باید به‌روز شود.

تشخیص وب‌سایت‌های HTTP و HTTPS

اگر از مرورگر کروم استفاده کنید، به‌سادگی می‌توانید این موارد را از هم تشخیص بدهید؛ چون کروم اجازه‌ی بازدید از یک وب‌سایت HTTP را نمی‌دهد. البته می‌توانید هشدار آن را نادیده بگیرید؛ اما این اخطار مطمئن‌ترین علامت برای اطلاع از عدم استفاده‌ی آن وب‌سایت از HTTPS است.

اگر از مرورگر دیگری استفاده می‌کنید که وب‌سایت‌های HTTP را به‌صورت خودکار مسدود نمی‌کنند، باید به نوار آدرس دقت کنید. با توجه به دو معیار می‌توانید تشخیص بدهید که یک وب‌سایت HTTP یا HTTPS است:

• یک آیکون سبزرنگ به شکل قفل و کلمه‌ی Secure دقیقا قبل از آدرس URL
• آغاز شدن آدرس URL با کلمه‌ی https

آسیب پذیری http

پروتکل https مشکلات زیادی را در مسائل امنیت حل کرده است. گزارشات زیادی در خصوص حملات وجود دارد که https این موارد را بسیار کاهش داده است. در ذیل به برخی از این گزارشات اشاره میکنیم :

• شرکت های AT&T و Verizon بدون اطلاع مشتریان، عادت های وب گردی آنها را رصد می کردند
• China Telecom با استفاده از ارتباطات http بد افزاری را به کامپیوتر کاربران تزریق می کردند
• Airtel نیز بر روی این پروتکل از کاربران سوء استفاده می کرده است.

برخی  از مسائل رخ داده  در خصوص امنیت سایبری شامل شرکت های فناوری بزرگ است. شرکت های آمریکایی بیش از ۳ میلیارد دلار در کلاهبرداری های اینترنتی از دست داده اند که بیشتر مربوط به جمع آوری اطلاعات توسط هکر ها از ارتباطات غیر ایمن آنها بوده است. از آنجایی که هکرها بسیار خبره تر شده اند بررسی و آگاهی از  اینگونه موارد بسیار سخت شده است. بر همین اساس تمامی شرکت های پیشرو به پروتکل https تغییر مسیر داده اند.

در حال حاضر بسیاری از مرورگرها رویکردشان را در خصوص https بطور کامل تغییر داده اند، بر این اساس می توانید به اظهارات اخیر در خصوص رویکردشان نگاهی بیاندازید :

Mozilla: برای پشتیبانی کامل استفاده از Https ضروری است

موزیلا در نظر دارد برخی از امکاناتش را در خصوص وب سایت هایی که از https استفاده نمی کنند غیر فعال کند. آنها علت این اقدام را بدین شکل بیان می کنند که : “ما از Https پشتیبانی میکنیم زیرا امنیت در وب بخش مرکزی ماموریت ماست، جدا از هدفگذاری که این پروتکل دارد، Https شرایطی را فراهم می کند که کاربران را در محیط وب ایمن نگه می دارد”.

Apple : لینک های داخلی برنامه ها باید https باشند

Apple نیز اعلام کرده تمامی لینک های داخلی app  ها باید آدرسشان تحت پروتکل https باشد. جمله ای که نشان می دهد Apple اهمیت امنیت را درک کرده است. این مطلب بدین معنی است که هر اپلیکیشنی که به وب سایت شما لینک شود این ارتباط باید از طریق پروتکل https صورت گیرد.

Google : وب سایت های مبتنی بر https رتبه بهتری در نتایج گوگل میگیرند.

همانطور که در بالا اشاره شد، گوگل اظهار داشته که استفاده از https یک ضرورت است و قصد ترویج استفاده از این پروتکل را در بین سایت ها دارد. با اضافه نمودن یک گواهی SSL به وب سایتتان شما می توانید بازدیدکنندگان بیشتری را به کسب و کارتان جذب کنید.

نحوه تشخیص سایت های دارای https

برخی از مرورگرها دیگر صفحات http را باز نمی کنند و اخطاری مانند تصویر زیر را به شما نشان می دهند.

در مرورگرهای دیگر می توان سایت های دارای https را با دیدن آیکون سبز رنگ به شکل قفل دقیقا قبل از url تشخیص داد. البته شروع آدرس اینترنتی با https نیز یکی دیگر از نشانه های آن است.

مراحل تغییر از HTTP به HTTPS

مهاجرت از HTTP به HTTPS برای بسیاری از افراد سخت است زیرا ممکن است با مشکلات احتمالی مواجه شوند. در این بخش به مراحل انجام این کار اشاره می‌‌‌کنیم:

• انتخاب یکی از انواع گواهینامه SSL
• خرید SSL و نصب آن بر روی دامنه
• هدایت تمامی صفحات از HTTP به HTTPS
• تایید مجدد مالکیت در سرچ کنسول گوگل
• به روزرسانی نقشه سایت (sitemap)
• به روزرسانی فایل robots.txt
• به روزرسانی تنظیمات گوگل آنالیتیکس
• انجام تست